محدودیت Active Directory در مقابل دایرکتوری متن باز

سرویس اکتیو دایرکتوری (Active Directory) یکی از ابزارهای مدیریت هویت است که برای کاربران سیستم عامل ویندوز (Windows) و شبکه‌های مبتنی بر Windows Server نامی آشنا و در انحصار شرکت مایکروسافت است. در این مقاله قصد داریم اکتیو دایرکتوری را با ابزارهای مدیریت هویت متن‌باز و قابل بومی‌سازی مقایسه کنیم.

برای شروع این مقاله بد نیست ابتدا به معرفی برخی از مفاهیم اصلی که در مسئله مدیریت هویت با آن سرو کار داریم بپردازیم.

هویت
هویت یا Identity بیانگر ویژگی‌های معینی است که برای شناسایی افراد استفاده می‌شود. در سامانه‌های الکترونیکی، “هویت” یک کاربر، مجموعه اطلاعات منحصر به فردی است که برای تعریف آن کاربر در سامانه مورد استفاده قرار می‌گیرد. سامانه‌های الکترونیکی بر اساس “هویت‌نامه” قادر خواهند بود دسترسی و خدمات مورد نیاز کاربر را به وی ارائه دهند.

انباره هویت
انباره هویت یا Identity Directory محلی برای نگهداری اطلاعات هویت کاربران است. انباره هویت باید تمامی هویت‌های تعریف شده در سامانه (یا سامانه‌ها) متصل به خود را در برگیرد و سامانه‌های متصل به این انباره هویت، برای دسترسی به اطلاعات هویت کاربران به آن مراجعه کنند.

مدیریت هویت
سازمان‌ها و کسب وکارهایی که با تعداد زیادی کاربر و سامانه سر و کار دارند، برای مدیریت کاربران در سامانه‌های خود از ابزارهای مدیریت هویت استفاده می‌کنند. مدیریت هویت به فرایندهایی گفته می‌شود که در چرخه حیات یک هویت (ایجاد هویت کاربر، ویرایش اطلاعات کاربر و غیرفعال کردن یک کاربر) انجام می‌شود.

Active Directory یک ابزار مدیریت هویت است و به دلیل اینکه مانند سیستم عامل ویندوز محصول شرکت ماکروسافت است، معمولا توسط کاربران این سیستم عامل مورد استفاده قرار می‌گیرد. این ابزار هم مانند تمامی محصولات شرکت مایکروسافت انحصاری بوده و باید خریداری گردد.

مدیریت هویت و کنترل دسترسی
راهکارهای مدیریت هویت و کنترل دسترسی ابزارهای نوظهوری برای مدیریت یکپارچه و متمرکز تمام هویت‌ها در سامانه‌های مختلف سازمان و کنترل دسترسی آنها هستند. این راهکارها از یک دایرکتوری مرکزی استفاده می‌کنند که می‌تواند یک محصول انحصاری مانند اکتیو دایرکتوری یا یک محصول متن باز و قابل توسعه باشد.

ویژگی‌های لازم برای انباره هویت
ویژگی‌های مهم و اصلی که یک انباره هویت باید داشته باشد، شامل این موارد است:

• پشتیبانی از استانداردها و پروتکل‌های متنوع برای امکان ارتباط حداکثری با سامانه‌ها
• انعطاف‌پذیری کافی در سفارشی‌سازی ساختار داده‌ها
• ارائه رابط مدیریتی و کاربری مورد نیاز سامانه‌ها و سازمان‌ها
• تطابق با سیاست‌های کلان جهت مقابله با ریسک سازمانی و ملی
• نحوه اتصال سامانه‌ها و بحث نظارت و گزارش‌گیری

مقایسه دایرکتوری‌های متن باز و Active Directory در راهکار مدیریت هویت و دسترسی
در ادامه این مقاله قصد داریم محصول Active directory و دو محصول متن باز Fedora و OpenLDAP را بر اساس ویژگی‌های ذکر شده فوق بررسی کرده و کارایی آنها را در سیستم‌های مدیریت هویت و دسترسی مقایسه کنیم.

پشتیبانی از استانداردها ( استانداردهای متن‌باز / استاندارد‌های انحصاری)
برای این‌که سامانه‌ها بتوانند با یکدیگر ارتباط برقرار کنند لازم است پروتکل‌های ارتباطی و استانداردهای لازم برای برقراری ارتباط با یکدیگر را بشناسند. این پروتکل‌های ارتباطی، شامل استانداردهای محصولات متن‌باز و استاندارهای محصولات انحصاری می‌شود.

به دلیل اینکه محصولات متن‌باز در دنیا بسیار فراگیرتر از محصولات انحصاری هستند، برای ‌اندازی سیستم‌های مدیریت هویت و کنترل دسترسی استانداردهای محصولات متن‌باز از اهمیت بسیار بالایی برخوردار هستند. ضمن اینکه انباره هویت در سیستم‌های مدیریت هویت و دسترسی، برای پوشش تمام سامانه‌ها و کاهش ریسک‌های ‌یکپارچه‌سازی، باید بتواند استاندارد‌های محصولات انحصاری را نیز پوشش دهد.

در مورد Active Directory دو نکته وجود دارد، اول این که این محصول با LDAP v3 تطابق کامل ندارد و با تغییراتی آن را پیاده کرده است. موضوع دوم هم این است که مایکروسافت کارکرد‌های اختصاصی خودش را هم در این محصول گنجانده است.

بنابرین با وجود اینکه در راهکار مدیریت هویت و دسترسی لازم است تمامی استاندارها از جمله Active Directory پشتیبانی شده و ارتباط با آن پوشش داده شود، ولیکن انتخاب اکتیو دایرکتوری به عنوان انباره مرکزی هویت به دلیل استاندارد اختصاصی آن توصیه نمی‌شود.

انعطاف‌پذیری
انعطاف‌پذیری یکی از خصوصیات مهم در راهکارهای یکپارچه‌سازی است. زیرا این راهکارها باید بتوانند با طیف گسترده‌ای از محصولات و سامانه‌ها سازگار باشند. راهکار مدیریت هویت و کنترل دسترسی هم از این امر مستثنی نیست. از این رو امکاناتی نظیر امکان شخصی‌سازی در Schema و بر پایه‌ آن امکان شخصی‌سازی در سامانه‌های مرتبط با آن بسیار اهمیت پیدا می‌کند.

• انعطاف در Schema
  منظور از انعطاف در Schema امکان شخصی‌سازی و اضافه نمودن اطلاعات و فیلدهای بومی و اختصاصی ‌یک سازمان است. بطور مثال امکان ذخیره شماره بیمه تامین اجتماعی و ‌یا کد‌ ملی و شماره شناسنامه موضوعی کاملا بومی است و که در سامانه‌ها و راهکار‌های خارجی بسیار کم دیده می‌شود. بنابراین لازم است امکان شخصی‌سازی Schema‌ در انباره هویت وجود داشته باشد.

علیرغم ادعا‌های مختلف در خصوص قابلیت‌های Active Directory، بدلیل چند وجهی بودن وظایف و کارکرد‌ها درآن عملا تغییر و انعطاف پذیری در Schema وجود ندارد. در مقابل دایرکتوری‌های متن باز ذکر شده ‌یکی از نقاط قوتشان همین انعطاف و قابلیت شخصی‌سازی در آن‌ها است.

• انعطاف در سامانه‌های تکمیلی
  محدودیت سیستم مدیریت کاربر و قابلیت اختصاصی‌سازی برای کارکرد‌های مدیریت هویت یکی از نقاطی است که نبود امکان شخصی‌سازی را برای Microsoft Active Directory برجسته کرده است. بطور مثال در رابط کاربری که برای مدیریت کاربران وجود دارد مشخصات ثابت و غیر قابل تغییری دیده می‌شود، که بر اساس تجربه حداقل برای تولید کنندگان داخل ایران امکان تغییر و سفارشی‌سازی بر حسب نیاز را ندارد.

برای این کار معمولا با اضافه شدن Schemaهای استاندارد و‌ یا حتی اختصاصی سازمان باید به رابط کاربری هم معادل آن فیلد‌ها و کارکرد‌هایی اضافه کرد، اما در Microsoft Active Directory با وجود ادعای امکان تغییر در Schema، تمام امکانات در رابط کاربری ثابت و بدون تغییر هستند.

رابط کاربری و مدیریتی
در رابط کاربری Active Directory که مدیر سیستم با آن روبرو است، امکان شخصی‌سازی و اضافه کردن یا تغییر فیلد‌های کاربران وجود ندارد. حتی در صورتی که این امکان از طریق شرکت مایکروسافت قابل ارائه باشد، به دلایل مختلف از جمله نبود ارتباط تجاری و وجود تحریم‌های مختلف، امکان دریافت چنین خدماتی در داخل کشور فم نیست.

ریسک‌های کلان سازمانی و ملی
انباره هویت به دلیل وابستگی سامانه‌ها و زیرساخت‌های دیگر به آن یکی از قسمت‌های مرکزی و اصلی در سرویس‌های سازمانی است. در چنین شرایطی ضروری است نکات امنیتی و حساسی همچون سیاست‌های سازمانی و دولتی در خصوص به کارگیری راه‌کارهای متن‌باز، کنترل‌های امنیتی استاندارد ISMS، انطباق با رهیافت‌های ملی نظیر پدافند غیر‌عامل، در نظر داشتن شرایط تحریم و ریسک لایسنس‌های غیر اصل و همچنین استفاده از صنایع بومی و داخلی را در نظر گرفت.

متاسفانه سابقه‎ محصولات شرکت مایکروسافت در جمع‌آوری اطلاعات، از‌ یک سو و عدم تطابق محصولات آن با دستورالعمل‌های ذکر شده فوق، شرایط آن را از دیدگاه ریسک‌های کلان سازمانی و ملی نا‌مناسب می‌سازد.

برخلاف Active Directory، دایرکتوری‌های متن‌باز نه‌ تنها با الگوها و دستورالعمل‌های کنترل ریسک‌های کلان سازمانی و ملی تطابق دارند، بلکه به دلیل پشتیبانی داخلی، امکان خصوصی سازی و و تغییر دارند.

قابلیت اطمینان
یکی از نکاتی که در انتخاب سرویس‌های شرکت مایکروسافت باید در نظر داشت، این است که این سرویس‌ها به دلیل معماری خود مشمول ریسک‌های بزرگی می‎شوند که هنوز روی بستر‌های مبتنی بر Windows برقرار است. به عنوان مثال، به‌روزرسانی سیستم‌عامل ویندوز و نیاز آن به ریبوت یا بازنشانی مجدد یکی از مشکلات رایجی است که مباحث دسترس‌پذیری این سیستم‌عامل و بسترهای مبتنی بر آن را تحت تاثیر قرار می‌دهد. از سوی دیگر نبود دسترسی به تولید کننده برای پشتیبانی و حل مسائل و مشکلات، ریسک این راه‌حل را دو چندان می‌کند.

در مقابل، در بررسی راه‌حل‌های مبتنی بر نرم‌افزارهای متن‌باز، با توجه به اینکه این نرم‌افزارها برروی سیستم عامل Linux راه‌اندازی می‌شوند، ریسک‌های محصولات مایکروسافت را ندارند. از سوی دیگر در صورت بروز مشکل و‌ یا کارکردی که قابلیت اطمینان و دسترس‌پذیری را به خطر بیاندازد، وجود پشتیبانی داخلی، وجود راهکارهای متعدد برای دسترس پذیری و همچنین امکان تصحیح مشکل به دلیل امکان ویرایش کد در راهکارهای متن‌باز، ریسک مذکور را بسیار کاهش می‌دهد.

تخصصی بودن و تمرکز
یکی از مشکلات دیگری که برای Active Directory باید درنظر گرفت این است که این نرم‌افزار برای استفاده‌های متعددی غیر از احراز هویت نیز استفاده می‌شود. به عبارتی این راهکار با اولویت قرار دادن نیازمندی‌های شرکت مایکروسافت، محدودیت‌هایی را به دلیل اختصاصی بودن و تمرکز آن برای محصولات و کارکرد‌های مورد نظر شرکت Microsoft دارد. در نتیجه، اولویت نخست Active Directory پشتیبانی کامل از همه استانداردها و انعطاف ‌پذیری با همه محصولات نیست.

بطور مثال، کارکردی در اکتیو دایرکتوری به نام Group Policy وجود دارد، که تنها در شبکه‌های مبتنی بر تکنولوژی‌های مایکروسافت معنی و کاربرد دارد. از آنجایی که کار تخصصی انباره هویت نگهداری اطلاعات عمومی کاربران است، وجود مفهوم Group Policy در داخل Active Directory – در جایگاه دایرکتوری مرکزی- ساختار داده‌ای اضافی و بدون کاربرد به حساب می‌آید.

در مقابل، پروژه‌های متن‌باز ذاتا ساده و استاندارد محور هستند که نشان دهنده‌ بیشترین عمومیت و کمترین کارکرد غیر مرتبط است. بنابراین پروژه‌های متن باز از دیدگاه تخصصی بودن و تمرکز برروی کارکرد انباره هویت بهترین انتخاب هستند.

نحوه اتصال سامانه‌ها و بحث نظارت و گزارش‌گیری
در پیاده‌سازی راهکار مدیریت هویت و کنترل دسترسی، ‌یکی از موضوعات مهم برای سازمان‌هایی که از بستر Active Directory برروی شبکه‌ خود استفاده می‌کنند، نحوه اتصال سامانه‌هایی است که با Active Directory در ارتباط هستند. در این حالت، هم اتصال مستقیم به انباره هویت برای این سامانه‌ها قابل اجراست و هم اتصال غیر مستقیم از طریق Active Directory امکان‌پذیر است.

نحوه اتصال به زیرساخت احراز هویت متمرکز روی برخی از قابلیت‌های این راهکار تاثیر می‌گذارد. بطور مثال ‌یکی از قابلیت‌های بسیار مهم و کلیدی مدیریت هویت و کنترل دسترسی، “نظارت و گزارش‌گیری” متمرکز است. نظارت و گزارش‌گیری متمرکز نیازمند اشراف کامل به تمام رویدادها در تمام سیستم‌ها و سامانه‌های متصل است.

اگر اتصال سامانه‌ها بصورت غیر مستقیم باشد، یعنی یکی از سامانه‌ها بجای این که مستقیم به دایرکتوری مرکزی متصل شده باشد، از طریق Active Directory به دایرکتوری مرکزی متصل شود؛ قابلیت نظارت وگزارش‌گیری از آن سامانه محدود به امکانات و پروتکل‌‌‌های Active Directory می‌گردد. این امر شفافیت و نظارت یکپارچه را تحت تاثیر قرار خواهد داد، که از دیدگاه عملیات، راهبری، مدیریت و امنیت نقطه ضعف به حساب می‌آید. اما در مقابل اگر سامانه‌ها به طور مستقیم به دایرکتوری مرکزی متصل گردند، علاوه بر حفظ یکپارچگی و استاندارد، حداکثر کارایی نیز ایجاد شود.

نکات تکمیلی در بررسی مشخصات دایرکتوری‌های متن باز
علاوه بر مسائلی که مطرح شد، دایرکتوری‌های متن باز ویژگی‌های دیگری هم دارند که در انتخاب آن‌ها به عنوان دایرکتوری مرکزی موثرند.

یکی از اولین محصولاتی که در حوزه دایرکتوری با استاندارد LDAP ایجاد گردید، نرم افزار OpenLDAP است. قدمت این پروژه به سال 1996‌یک سال پس از ایجاد اولین RFC‌های پشتیبانی کننده پروتکل LDAP (RFC1823 مربوط به سال 1995) می‌رسد. این پروژه با پشتیبانی شرکت‌ها و تولید کننده‌های بزرگ تبدیل به مرجع و استانداردی برای تمام محصولات و کارکردهای حوزه دایرکتوری شده است. بخش اصلی این پروژه slapd نام دارد که در پروژه‌های متن باز مشتق از OpenLDAP و حتی محصولات شناخته شده متن-بسته نیز دیده می‌شود. نمونه‌ پروژه متن باز در این حوزه پروژه 389 DS است که Fedora DS نامیده می‌شود. این پروژه علاوه بر Community بزرگ و فعالش، توسط شرکت‌های بزرگی نظیر Redhat پشتیبانی می‌شود. شرکت‌های بزرگی نظیر Oracle، Cisco، Red hat، Mitel، F5 و Dell تولیدکنندگان بزرگی هستند که در محصولات خود از پروژه‌ی OpenLDAP و یا بخش اصلی آن slapd بهره می‌گیرند. این امر قابلیت اطمینان، پشتیبانی و حمایت گسترده از این محصول را نشان می‌دهد.

جدول مقایسه خلاصه
دراین بخش جدول خلاصه‌ای از توضیحات بخش‌های بالا آورده شده‌است. لازم به توجه و تاکید است، مقایسه‌ای که در این مقاله انجام شده، تنها در مورد جایگاه انباره هویت و با در نظر گرفتن شرایط بومی IT در ایران است. بدیهی است اگر موضوع، کارکرد و ‌یا شرایط دیگری مورد نظر باشد، اولویت‌ها و مقایسه به شکل دیگری خواهد بود.

بر اساس استنتاج‌هایی که در بالا آمده است، نتایج مقایسه راهکار Active Directory و دایرکتوری متن باز برای هر ‌یک از ملاک‌های بررسی شده، به شرح زیر است:

دایرکتوری متن باز

Active Directory

مورد

#

بله

خیر
ریسک‌های کلان سازمانی و ملی

1

بله

خیر
قابلیت اطمینان

2

بله خیر
تخصصی بودن و تمرکز

3

بله

خیر
استاندارد‌های باز و اختصاصی

4

بله

خیر
پوشش و محدوده‌ی استاندارد‌ها

5

بله

خیر
انعطاف‌پذیری در Schema

6

بله خیر
انعطاف‌پذیری در سامانه‌ها

7